1、2025 中国软件供应链安全分析报告I摘要 2024 年国内企业自主开发软件的源代码高危缺陷密度为 0.55 个/千行，处于历年来较低水平。但整体缺陷密度为 13.26 个/千行，持续升高。2024 年，CVE/NVD、CNNVD、CNVD 等公开漏洞库中新增开源软件相关漏洞 10320 个。2024 年，主流开源软件包生态系统中不活跃的开源软件项目数量为 7453176 个，占比高达 74.5%，呈现出增高的趋势。2024 年，国内企业软件项目中，平均每个项目使用了 168 个开源软件，几年来呈现出持续增长的态势。2024 年，国内企业平均每个软件项目存在 66 个已知开源软件漏洞，较前两年

2、明显减少；存在已知开源软件高危漏洞、超危漏洞、容易利用漏洞的项目占比分别为 73.0%、57.4%和 57.5%，均比去年有大幅下降。但整体风险仍处于高位，没有根本上的改变。2024 年，国内企业软件项目中存在老旧开源软件漏洞的状况没有改善，多个项目中依然存在 20 年前的开源软件漏洞。通过对智能网联汽车和大语言模型（LLM）两个热点领域的固件和软件进行专题分析发现，这些领域均存在严重的软件供应链安全风险，不容忽视。II目录一、概述一、概述.1 1二、国内企业自主开发源代码安全状况二、国内企业自主开发源代码安全状况.1 11、编程语言分布情况.22、典型安全缺陷检出情况.3三、开源软件生态发展

3、与安全状况三、开源软件生态发展与安全状况.4 41、开源软件生态发展状况分析.42、开源软件源代码安全状况分析.6（1）编程语言分布情况.6（2）典型安全缺陷检出情况.73、开源软件公开报告漏洞状况分析.8（1）大型开源项目漏洞总数及年度增长 TOP20.8（2）主流开源软件包生态系统漏洞总数及年度增长 TOP20.114、开源软件活跃度状况分析.14（1）近 3/4 的开源项目处于不活跃状态.14（2）版本频繁更新的项目较去年增长超 1/3.155、关键基础开源软件分析.15III（1）主流开源生态中关键基础开源软件数量为 5485.16（2）近 9 成关键基础开源软件从未公开披露过漏洞.1

4、8（3）关键基础开源软件存在较大的运维风险.19四、国内企业软件开发中开源软件应用状况四、国内企业软件开发中开源软件应用状况.20201、开源软件总体使用情况分析.20（1）平均每个软件项目使用 168 个开源软件，持续增长.20（2）最流行的开源软件被 38.6%的软件项目使用.212、开源软件漏洞风险分析.22（1）各类已知开源软件漏洞的检出率明显下降.22（2）项目的平均已知开源软件漏洞数明显减少.23（3）影响最广的容易利用漏洞存在于 1/4 的项目中.24（4）多个软件项目中依然存在 20 年前的开源软件漏洞.253、开源软件许可协议风险分析.26（1）最流行的开源许可协议在 45.

5、9%的项目中使用.26（2）超、高危开源许可协议在 21.2%的项目中使用.274、开源软件运维风险分析.29（1）近 30 年前的老旧开源软件版本仍在使用.29（2）开源软件版本的使用依然混乱.30五、重点领域软件供应链安全风险专题分析五、重点领域软件供应链安全风险专题分析.3131IV1、智能网联汽车关键部件软件供应链安全风险分析.31（1）第三方组件及引入的漏洞情况.31（2）常用第三方组件及其漏洞风险.32（3）攻击实例验证分析.332、开源大模型推理框架软件供应链安全风险分析.34（1）开源软件及引入的漏洞情况.35（2）常用开源软件及其漏洞风险.36（3）攻击实例验证分析.37六、

6、总结及建议六、总结及建议.3939附录：奇安信代码安全实验室简介附录：奇安信代码安全实验室简介.42421一、概述一、概述众所周知，目前软件供应链已成为网络安全攻击的重要渠道之一。基于对软件供应链安全领域的持续关注和相应技术能力的不断积累，奇安信代码安全实验室继续推出2025 中国软件供应链安全分析报告。至此，该系列报告已连续发布 5 年。软件由自主开发的代码与开源代码等第三方代码集成后，形成混源代码，然后通过编译、连接等构建过程形成软件产品，交付给用户使用。在这一软件供应流程中，每个阶段的代码或工件都可能引入安全问题，从而导致最终软件供应链安全事件的爆发。基于此流程模型，本报告分析了过去一年